Cómo mejorar la seguridad de WordPress
Los sistemas de gestión de contenidos (CMS) son aplicaciones de software que ayudan a los usuarios a construir, gestionar y personalizar sitios web sin tener que escribir el código ellos mismos. WordPress es uno de los sistemas de gestión de contenido más populares del mundo y, como tal, representa un objetivo de gran valor para el ciberatacante.
Los propios equipos internos de WordPress proporcionan actualizaciones de seguridad y revisiones periódicas para las vulnerabilidades recién descubiertas en su sistema, pero los usuarios de WordPress también pueden tomar varias medidas para garantizar que sus sitios se mantengan seguros contra amenazas conocidas y emergentes. La mayoría de estos pasos encajan en una de estas dos categorías: eliminación de la amenaza y reducción del riesgo.
La eliminación de amenazas se centra en eliminar los ciberataques y otras amenazas. Por ejemplo, un usuario de WordPress podría instalar un firewall para filtrar el tráfico malicioso y mitigar los ataques de denegación de servicio distribuido (DDoS) o elegir un proveedor de alojamiento que ofrezca funciones de seguridad integradas.
La reducción de riesgos se refiere a prácticas de seguridad proactivas, como cambiar el prefijo predeterminado de la base de datos de WordPress para que los atacantes no puedan localizarla fácilmente, imponer requisitos estrictos de acceso a los usuarios y realizar escaneos de seguridad periódicos.
¿Qué tan seguro es WordPress?
Aunque WordPress es una herramienta potente y flexible, no es inmune a los ciberataques, las vulnerabilidades u otros riesgos introducidos por error del usuario.
Ataques comunes contra WordPress
- Ataques basados en contraseñas: los intentos de descifrar una contraseña por fuerza bruta, en los que el atacante introduce repetidamente diferentes conjuntos de credenciales de usuario (combinaciones de nombre de usuario y contraseña) en una página de inicio de sesión, suelen utilizarse para entrar sin autorización en una cuenta de WordPress. Otras formas de ataque a las contraseñas son el relleno de credenciales y los ataques de diccionario.
- Cross-site scripting (XSS): XSS permite inyectar código malicioso en un sitio de WordPress. Lo más común es hacerlo mediante plugins de WordPress. Obtén más información acerca de cómo impedir ataques XSS.
- Inyección de código SQL (SQLi): a veces llamado inyección de base de datos, los ataques SQLi inyectan código malicioso en un sitio WordPress a través de los campos de entrada de datos (por ejemplo, los formularios de contacto).
- Ataques DDoS: los ataques DDoS inundan el sitio web de WordPress con un gran volumen de tráfico no deseado, forzando una grave degradación del rendimiento o interrupción del servicio.
Vulnerabilidades de WordPress
- Versiones obsoletas de WordPress: WordPress actualiza regularmente su software principal para revisar las vulnerabilidades existentes y reforzar sus defensas contra las amenazas emergentes. Las versiones antiguas de WordPress no tienen estas protecciones y pueden seguir siendo susceptibles de sufrir ataques.
- Temas y plugins de terceros: los temas y plugins de WordPress de terceros ofrecen una amplia gama de funcionalidades, pero no siempre cumplen con los requisitos de seguridad más recientes. Como tales, pueden crear riesgos cuando se instalan en un sitio de WordPress.
- Puertas traseras: una vez que un atacante ha accedido a una cuenta de WordPress, se puede crear una puerta trasera, un método encubierto para eludir las medidas de seguridad. Las puertas traseras permiten que el atacante acceda repetidamente a un sitio WordPress o lanzar nuevos ataques.
- Autenticación de usuario débil: no practicar una higiene adecuada de las contraseñas (crear contraseñas seguras, cambiar regularmente las contraseñas, etc.) o no implementar la autenticación de múltiples factores (MFA) puede aumentar el riesgo de una fuga.
- Ajustes predeterminados de WordPress: WordPress tiene varios ajustes predeterminados que facilitan al atacante la identificación de puntos de entrada comunes (por ejemplo, la URL /wp-login.php) y de información confidencial del sitio (por ejemplo, el archivo wp-config.php).
Buenas prácticas de seguridad de WordPress
Existen varias medidas que los usuarios pueden tomar para proteger el sitio web de WordPress de las ciberamenazas más comunes y vulnerabilidades conocidas. Suelen encajar en una de las siguientes categorías: configuración del sitio, funciones de seguridad proactivas, acceso de usuarios, permisos de usuarios y actualizaciones de seguridad del sitio.
Configuración segura del sitio
- Utiliza un alojamiento seguro de WordPress. Un sitio web WordPress es tan seguro como su proveedor de alojamiento (un servicio de terceros que sirve contenido en nombre de los usuarios). Elige un servidor que pueda defenderte de ataques sofisticados, ayudar a escanear vulnerabilidades emergentes y amenazas y proporcionar recursos de recuperación ante desastres.
- Cambia la URL por defecto de la página de inicio de sesión de WordPress y el prefijo de la base de datos. Estas URLS —que terminan en /wp-login.php y /wp-admin, respectivamente— están habilitadas por defecto en todos los sitios de WordPress, lo que facilita que el atacante las encuentre. Se les puede cambiar nombre para ayudar a evitar el intento de descifrar una contraseña por fuerza bruta y otras amenazas selectivas.
- Mueve el archivo wp-config.php. El archivo wp-config.php incluye las claves de seguridad de WordPress y otros detalles confidenciales de la instalación de WordPress. Desafortunadamente, también es fácil de encontrar. Mueve el archivo por encima del directorio raíz de WordPress para dificultar su localización a los atacantes.
- Instala un tema de WordPress seguro. Algunos temas de WordPress no se han actualizado para admitir la versión más reciente de WordPress o pueden no cumplir con las normas de seguridad existente de WordPress. Como resultado, los atacantes pueden explotarlos con mayor facilidad. Selecciona un tema que esté incluido en el directorio de temas de WordPress o pásalo por un validador de temas de WordPress antes de instalarlo.
- Oculta la versión de WordPress que se está utilizando. Muchos ataques contra WordPress aprovechan vulnerabilidades específicas de diferentes versiones de WordPress. Al ocultar la versión de WordPress que utilizan, los usuarios pueden evitar estas amenazas o dificultar que el atacante encuentre las debilidades existentes en sus sitios.
Instalar funciones de seguridad proactivas
- Utiliza un certificado SSL/TLS. Capa de puertos seguros (SSL), también conocido como Transport Layer Security (TLS), es un protocolo de seguridad que ayuda a proteger y encriptar los datos transmitidos a través de la web. Los certificados SSL se puede obtener de proveedores de alojamiento o de servicios de seguridad de terceros como Cloudflare.
- Instala un firewall. Un firewall de aplicación web (WAF) se sitúa delante de los sitios de WordPress para filtrar y bloquear el tráfico no autorizado. Instalar un WAF puede ayudar a evitar que los ataques DoS y DDoS afecten el servicio del sitio de manera significativa.
- Bloquea las solicitudes HTTP mediante el protocolo XML-RPC. XML-RPC se utiliza a menudo para realizar ciberataques volumétricos o intentos de fuerza bruta. Se puede utilizar un complemento o una regla de firewall para excluirse de la función XML-RPC.
- Evita el hotlinking. El hotlinking permite a terceros incorporar contenido de sitios de WordPress sin tener que alojarlos en ellos. Cuando esto ocurre repetidamente, puede aumentar los costos de ancho de banda para el anfitrión original del contenido.
Acceso seguro del usuario
- Aplicar el MFA. La MFA exige a los usuarios que proporcionen una forma adicional de identificación antes de acceder a un sistema o cuenta protegidos, y hace que sea más difícil para un atacante infiltrar un sitio de WordPress — aún si han descifrado la combinación de nombre de usuario y contraseña de un usuario legítimo.
- Limita el número de intentos fallidos de inicio de sesión. Los ataques a contraseñas tienen más probabilidades de tener éxito cuando el atacante dispone de un número ilimitado de intentos para introducir sus credenciales en una página de inicio de sesión.
- Desconectar automáticamente a los usuarios inactivos. Algunos usuarios podrían acceder a sus cuentas de WordPress desde ordenadores públicos o practicar otros hábitos de navegación poco seguros. Cierra automáticamente la sesión de los usuarios luego de un cierto periodo de inactividad para reducir las posibilidades de interceptación y otras formas de acceso no autorizado de terceros.
- Eliminar cuentas de usuario inactivas. Aunque un usuario ya no utilice su cuenta para acceder a un sitio de WordPress, su cuenta y sus credenciales de inicio de sesión pueden ser objetivo de los atacantes.
Gestionar permisos del usuario
- Restringe los permisos a archivos y carpetas. Los usuarios no deben tener privilegios de administrador, a menos que sea absolutamente necesario. Limita las funciones que los usuarios pueden realizar en un sitio WordPress para reducir la probabilidad de que se compartan datos no deseados y minimizar los efectos de una violación. (Más información sobre el principio de mínimos privilegios.)
- No permitir la edición de archivos. El editor de archivos predeterminado de WordPress permite que los usuarios editen fácilmente archivos PHP. Si se viola una cuenta de WordPress, esta función también permite que el atacante modifique significativamente el código de los archivos del sitio.
- Supervisa la actividad de los usuarios. Los ataques a WordPress pueden provenir tanto de fuentes externas como internas. Registra y revisa regularmente la actividad de los usuarios para detectar cualquier comportamiento sospechoso (por ejemplo. alterar archivos, instalar plugins no autorizados, etc.).
Actualizar las funciones de seguridad de WordPress
- Actualiza a la nueva versión de WordPress. WordPress se actualiza regularmente para defenderse contra las vulnerabilidades conocidas. Busca el aviso en la parte superior del panel de control de WordPress que avisa a los usuarios cuando hay una nueva versión disponible.
- Actualiza los temas y complementos de WordPress. Cada tema y complemento representa un punto de entrada potencial para los atacantes. Al igual que las versiones antiguas de WordPress pueden contener debilidades críticas, los atacantes suelen utilizar temas y complementos obsoletos para realizar ataques contra los usuarios de WordPress.
- Lleva a cabo análisis de seguridad periódicos. Utiliza un complemento de seguridad, un software o un servicio de terceros de confianza para comprobar automáticamente si hay malware y otros riesgos para la seguridad.
- Crea copias de seguridad periódicas de los datos del sitio. En caso de un ataque exitoso, los usuarios pueden restaurar los datos perdidos a partir de una copia de seguridad reciente del sitio.
¿Cómo protege Cloudflare los sitios de WordPress?
La optimización automática de la plataforma de Cloudflare (APO) es un complemento para WordPress que permite a los usuarios acceder a diversas funciones de seguridad y rendimiento, incluyendo los conjuntos de reglas WAF de Cloudflare, Universal SSL, protección contra DDoS y mucho más. Con Cloudflare Zero Trust, los usuarios pueden reforzar aún más su seguridad en WordPress al activar la MFA, al supervisar los intentos de inicio de sesión y al restringir el acceso de los usuarios a los activos internos. Obtén más información sobre cómo Cloudflare ayuda a proteger los sitios de WordPress.